компиляция OpenSSH для iPhone?

Вот мое взятие. Нападите на ROI владельцев ботов, так, чтобы они вместо этого сделали законную вещь, которую Вы хотите, чтобы они сделали вместо обмана. Давайте посмотрим на него с их точки зрения. Каковы их активы? По-видимому, неограниченное количество доступных машин, IP-адресов и возможно даже большого количества людей низкой квалификации, готовых сделать глупые задачи. Что они хотят? Чтобы всегда получать специальное предложение, Вы предлагаете, прежде чем другие законные люди получают его.

хорошие новости - то, что у них только есть ограниченное окно времени, в которое можно выиграть гонки. И то, что я не думаю, что они имеют, является неограниченным количеством умных людей, которые должны по требованию перепроектировать Ваш сайт в данный момент, Вы развязываете соглашение. Таким образом, если можно заставить их перейти через определенный обруч, который труден для них выяснить, но автоматический для законных клиентов (они не будут даже знать, что это там), можно задержать их усилия как раз, что они разбиты крупным количеством настоящих людей, которые просто умирают для получения горячего предложения.

первый шаг должен сделать Ваше понятие недвоичного файла аутентификации, которым я подразумеваю, что для любого данного пользователя Вам присвоили вероятность им, что они - живой человек или бот. Можно использовать много подсказок для создания этой вероятности, многие из которых уже были обсуждены на этом потоке: подозрительное действие уровня, IP-адреса, геолокация иностранного государства, cookie, и т.д. Мой фаворит должен просто обратить внимание на точную версию окон, которые они используют. Что еще более важно, можно дать долгосрочным клиентам ясный способ пройти проверку подлинности с сильными подсказками: путем привлечения с сайтом, создания покупок, содействия форумам, и т.д. Не требуется, что Вы делаете те вещи, но если Вы сделаете затем, то у Вас будет небольшое преимущество, когда это прибудет время для наблюдения специальных предложений.

Каждый раз, когда Вы призваны для принятия решения аутентификации, используйте эту вероятность для создания компьютера, Вы говорите, чтобы сделать более или менее работу, прежде чем Вы дадите им, что они хотят. Например, возможно, некоторый JavaScript на Вашем сайте требует, чтобы клиент выполнил в вычислительном отношении дорогую задачу в фоновом режиме, и только когда та задача завершается, будет Вы сообщить им о специальном предложении. Для постоянного клиента это может быть довольно быстрым и безболезненным, но для мошенника это означает, что им нужно намного больше компьютеров для поддержания постоянного покрытия (так как каждый компьютер должен сделать больше работы). Затем можно использовать счет вероятности сверху для увеличения объема работы, который они должны сделать.

Для проверки эта задержка не вызывает проблем справедливости, я рекомендовал бы заставить ее быть некоторой задачей шифрования, которая включает текущее время суток от компьютера человека. Так как мошенник не знает, во сколько соглашение запустится, он не может только составить что-то, он должен использовать что-то близко к реальному времени дня (можно проигнорировать любые запросы, которые утверждают, что вошли перед запущенным соглашением). Затем можно использовать эти времена для корректировки обслуживание в порядке поступления правило без настоящих людей, когда-либо имеющих необходимость знать что-либо об этом.

последняя идея состоит в том, чтобы изменить алгоритм, требуемый генерировать работу каждый раз, когда Вы отправляете новое соглашение (и наугад другие времена). Каждый раз, когда Вы делаете это, нормальные люди будут незатронуты, но боты прекратят работать. Они должны будут заставить человека взяться за работу над инженерным анализом, который, надо надеяться, займет больше времени, чем Ваше окно соглашения. Еще лучше то, если Вы никогда не говорите им, если они отправили правильный результат, так, чтобы они не получали вида предупреждения, что они делают вещи неправильно. Для нанесения поражения этому решению они должны будут на самом деле автоматизировать реальный браузер (или по крайней мере реальный интерпретатор JavaScript), и затем Вы действительно поднимаете стоимость мошенничества. Плюс, с реальным браузером, можно сделать приемы как предложенные в другом месте в этом потоке как синхронизация нажатий клавиш каждой записи и поиска других подозрительных поведений.

Так для любого, который Вы знаете, что видели прежде (общий IP, сессия, cookie, и т.д.) у Вас есть способ выполнить каждый немного более дорогой запрос. Это означает, что мошенники захотят всегда подарить Вам Ваш самый твердый случай - совершенно новая компьютерный/браузер/IP комбинация, которую Вы никогда не видели прежде. Но путем помещения некоторой дополнительной работы в способность даже знать, есть ли у них работающий правильно бот, Вы вынуждаете их потратить впустую много этих драгоценных ресурсов. Хотя у них может действительно быть бесконечное число, генерирование их не бесплатно, и снова Вы подвозите часть стоимости их уравнения ROI. В конечном счете для них будет более прибыльным просто сделать то, что Вы хотите :)

Hope, это полезно,

Eric